【腾讯云的1001种玩法】一分钟加固你的腾讯云Linux主机

鉴于腾讯云主机因弱口令频繁被入侵,通过加固可以避免高危端口暴露在外。

QQ密码账号安全

  1. 不使用个人QQ账号申请自研业务腾讯云主机。
  2. 能够管理腾讯云的QQ 密码需要符合强密码要求,为避免撞库攻击,不得在其他地方使用过。

Linux服务器SSH安全设置

为避免服务器被爆破SSH

  1. 不得使用12345678 football等容易猜到、以及基于键盘移位 !QAZ2wsx 等弱口令。
  2. 避免使用密码,使用证书登录。 选定一台能够访问公网的运维机作为跳板机执行 cd; ssh-keygen –t rsa 生成密钥对。执行cat .ssh/id_rsa.pub 显示并复制公钥内容。

建议第一种方法:在腾讯云官网添加SSH密钥

关闭云主机后,将密钥绑定到你的主机实例。腾讯云将会自动关闭SSH密码登录并开启证书登录。

第二种方法:命令行添加公钥 (记得将公钥保存一份)

在跳板机输入 cat .ssh/id_rsa.pub | ssh root@1.2.3.4 'cat >> .ssh/authorized_keys'

或者登录上Linux服务器后直接追加.ssh/authorized_keys

使用安全组限制服务器流量出入

为避免服务器被爆破扫描,或限制访问高危服务,或者避免不小心开放高危端口,建议对服务器实施安全组策略,根据业务需要限制网络出入流量。

如图所示,腾讯云已经自带一些安全组,默认都是全开的策略,会导致安全工单的爆发。例如一台默认配置的Windows Server服务器扫描结果:

第一步:根据业务特性,先从一个自带安全组克隆出来。注意选定服务器所在地区

然后编辑如图: 所有ICMP是允许,然后3389限定公司办公网出口可访问,然后剩下所有互联网流量全丢掉。如果你还有80或者8080 需要对外提供服务,就插入一条80 或者8080 的TCP策略,允许0.0.0.0/0

然后记得检查 “出站规则” ,最顶部要允许,要不然就访问不了外网。保存。

最后在云主机列表配置安全组,勾选刚才配置的安全组,再取消勾选默认的安全组。Done

入侵检测组件安装

前提是使用64bit Linux ;安装

wget wget mirrors.tencentyun.com/install/sec/agent.zip && unzip  agent.zip && sh install.sh

查看状态

sh /usr/local/sa/agent/restart.sh &&  sh /usr/local/sa/agent/check.sh

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

编辑于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏小怪聊职场

爬虫课堂(二十四)|使用Splash爬取京东商城的动态信息(2)

2806
来自专栏freesan44

实现 iOS 前台时的推送弹窗效果EBForeNotification

或许很多童鞋还不知道,在 iOS 中收到推送通知时,如果 App 处于前台运行的情况下,推送的顶部弹窗是不会弹出来的。

1121
来自专栏游戏杂谈

近期 Unity 提交苹果审核被拒的问题

游戏提交苹果审核,被打回。在 bugly 上没有查到崩溃信息,苹果给了 crash 日志也说明。

502
来自专栏云计算教程系列

如何在Ubuntu 14.04上安装Mailpile

在本教程中,我们将在Ubuntu 14.04上安装Mailpile,一个快速,安全,漂亮的Webmail客户端。

750
来自专栏刺客博客

详细记录Nginx配置Https过程

2294
来自专栏阮一峰的网络日志

SSH原理与运用(一):远程登录

SSH是每一台Linux电脑的标准配置。 随着Linux设备从电脑逐渐扩展到手机、外设和家用电器,SSH的使用范围也越来越广。不仅程序员离不开它,很多普通用户也...

2824
来自专栏静下来

Mac下iterm2用密钥登录服务器过程(已有密钥)

有台腾讯云不知道是安装了啥,老是有一堆ip在暴力破解远程登录,问腾讯云官方,说不是他们的ip,差了下ip,反正基本是江苏的,在ipip那边也都显示有攻击的行为了...

4385
来自专栏流柯技术学院

selenium启动firefox时加载扩展

    有些时候,我们测试需要用到插件或者已经导入的证书(比如金融和安全加密行业),而selenium启动firefox时会打开一个新的,不含有任何插件和个人证...

941
来自专栏猿天地

hbuilder发布IOS采坑记录

APP开发完成后就得上线啦,在上线过程中遇到了一些问题,在这边记录下: 安卓这块没什么大的问题,主要就是不同的应用市场都会要求下载他们的加固工具进行加固操作,...

30510
来自专栏Laoqi's Linux运维专列

jumpserver基础搭建及配置

1143

扫码关注云+社区